четверг, 10 апреля 2014 г.

DLP. Спрятать или показать?

Недавно на BIS-Expert'e своими размышлениями по поводу бюджетов в ИБ поделился УЦ "Информзащита". И в этих размышлениях есть пункт, с которым я несогласен. И касается это использования систем DLP-систем в организации, предлагается держать это в секрете. И одним из аргументов является то, что если сотрудник будет знать, что в организации есть DLP-система, он будет искать пути обхода. Моя позиция относительно использования DLP-систем в организации , а именно в их сокрытии от сотрудников, обратна. И на этот счет у есть несколько аргументов:


1. Если мы скрываем то, что применяем DLP-систему для контроля утечек, то организация должна понимать, что есть высокая вероятность нарушения конституционных прав человека (а сотрудники у нас в первую очередь люди), предоставленных им 23 статьей. Ведь контролируя свою информацию, мы можем наткнуться и на личную информацию сотрудника, на его переписку. И здесь недостаточно закрытия внешних почтовых ресурсов. Сотрудник может вести личную переписку со служебной почты, даже если это запрещено внутренними положениями. Сотрудник нарушает внутреннее положение организации, возможно. Да, мы можем его депримировать или уволить. Но организация нарушает его конституционные права, и он может подать в суд. На мой взгляд, несоизмеримо. Для этих целей нужно предупредить сотрудника о том, что его личная информация может стать доступна лицам, указать, при каких условиях и взять на это его согласие. Главное здесь, не перегнуть палку и сказать, что организация это делает только в рамках защиты своей КТ и ни в коем случае ни в целях слежения за сотрудниками. И здесь сразу несколько profit'ов:
  • Мы действуем в рамках закона.
  • У сотрудника не будет лишнего желания поделиться интимными подробностями пятничного вечера с товарищем "снаружи" с рабочего места.
  • Сотрудник понимает, что к нему относятся с уважением и лояльность его относительно компании может возрастать.

2. Открытость внедрения DLP-систем является драйвером для службы ИБ для более тщательной и грамотной ее настройки. Теперь сотрудник знает, что такая система есть и может предпринимать шаги к ее обходу. И, следовательно, службе ИБ нужно более грамотно настроить DLP-систему. А чем грамотнее она будет настроена, тем лучше для организации.

3. Даже само название Data Loss(Leak) Prevention говорит о том, что основной задачей таких систем является предотвращение утечек. А немалая часть таких утечек совершается по банальной ошибке. Не даром во многих DLP-системах во всплывающих окнах при отправке документа, попадающего под политику ограничения, есть пункт "Я не знал, что это коммерческая тайна". Какие выводы можно сделать из этого?
  • Если сотрудник и правда не знал, он это укажет (результаты ответов падают АИБу и за сотрудником можно присмотреть более пристально, а вдруг и правда инсайдер). Если сотрудник знал, но попытался, он будет осторожней (опять таки, за ним можно присмотреть). Но в любом случае мы предотвратили утечку. Система достойно справилась со своей основной задачей.
  • В обратном случае если сотрудник отправит документ и такого окошка у него не будет, то вслучае, если сотрудник не инсайдер лояльность отношения к компании у него может упасть, так как может появиться ощущение "тотальной слежки". А организации это надо? И тем более, после нескольких инцидентов вся тайна о существовании DLP-системы в организации перестанет быть тайной, так как сарафанное радио никто не отменял. И здесь можно добавить еще и принцип испорченного телефона, когда из обыной DLP-системы и порядочного АИБа мы получим СОРМ и злого КГБшника (простите, если кого обидел).

Итак, вывод прост. Использование DLP-системы не должно быть секретом для сотрудников. Ну, разве что на этапе тестирования и внедрения, чтобы готовящийся совершить злодеяние инсайдер не ускорился.

Комментариев нет:

Отправить комментарий